Aplikacje chmurowe. Jakie obowiązki ma administrator danych?

Różnego rodzaju aplikacje chmurowe stają się coraz bardziej popularne i są coraz szerzej wykorzystywane. Zalet aplikacji chmurowych jest wiele. Są gotowe lub prawie gotowe do użycia, udostępniają wiele funkcjonalności, których stworzenie zajęłoby mnóstwo czasu i sporo kosztowało. Są dostępne niemal od ręki za ułamek kosztu, jakiego wymagałoby stworzenie własnej aplikacji. Odpada też problem posiadania własnej infrastruktury, na której należałoby postawić własną aplikację.
Dla start-upów, małych i średnich firm, które ze względu na skalę działalności nie chcą ponosić wysokich kosztów, rozwiązanie niemal idealne. Niemal.

Nie ma jednak róży bez kolców (choć to w obecnych czasach prawda być może nieaktualna). Oprócz wielu zalet aplikacji chmurowych, rozwiązanie to niesie także dodatkowe zadania do wykonania.

Administrator jest zawsze odpowiedzialny

Administrator danych osobowych musi wywiązywać się z licznych obowiązków nałożonych przez RODO. To ktoś, kto samodzielnie lub z innymi określa cele i sposoby przetwarzania danych osobowych. Administratorem danych osobowych jest więc praktycznie każda firma.
RODO to rozwiązanie tyleż nowatorskie, jeśli chodzi o podejście do wypełniania obowiązków ciążących na przetwarzającym dane osobowe, co wyrachowane. Zostało skonstruowane tak, że nie sposób jest się od niego uwolnić, czy też przerzucić obowiązki i odpowiedzialność na kogoś innego.

Administrator danych jest administratorem, procesor procesorem. Wynika to z istoty ról jakie pełnią poszczególne z tych podmiotów w procesie związanym z przetwarzaniem danych. Nie da się, a nawet jeśli tak, to w niewielkim zakresie, zmienić lub przenieść tych ról. Np. przez umowne przerzucenie zadań czy obowiązków na inny podmiot.
Ze strony ochrony danych osobowych w konstrukcji RODO-wskiej, to, kto jest administratorem, wynika głównie z analizy definicji i konkretnych okoliczności. Natomiast w stosunkowo niewielkim stopniu z zapisów umów czy porozumień.

To stan obiektywny. RODO ma pierwszeństwo przed innymi przepisami krajowymi, np. określającymi status prawny administratora. To według opinii i wytycznych Europejskiej Rady Ochrony Danych (1/2010 i 7/2020), w ślad za wyrokami TSUE w tym zakresie. Oczywiście najlepiej, żeby określenie administratora czy procesora wynikało z jego zdolności do czynności prawnych, lecz nie jest to wymóg podstawowy.

Jeśli z realnych, obiektywnych warunków będzie jednoznacznie wynikało, że administratorem jest wydzielona część podmiotu, nieposiadająca osobowości prawnej, np. oddział firmy, to nic nie stoi na przeszkodzie był on uznany za administratora.
Inna rzecz jak podejdzie do tego UODO. Jest prawdopodobne, że po analizie sytuacji i tak dokona wystąpienia (i ewentualnego nałożenia kary) do zarejestrowanego przedsiębiorcy, którego częścią jest taki administrator.

Korzystanie z aplikacji chmurowych uwalnia od wielu problemów natury ekonomicznej, technicznej, organizacyjnej, zatrudnienia personelu itp. Nie zdejmuje jednak z administratora odpowiedzialności za przetwarzanie danych, a nawet generuje nowe obowiązki.

O czym więc planujący przetwarzanie w chmurze musi pamiętać?

Niezależnie czy będzie to tylko dysk chmurowy, poczta i podstawowe aplikacje biurowe, czy rozbudowany CRM.
Administrator pozostaje administratorem, nawet jeśli sam nie dokonuje przetwarzania danych. Także jeśli nie ma z nimi fizycznego kontaktu (to znaczy nie ma u siebie fizycznie komputerów, ani papierów z danymi).

Wystarczy, że do celu prowadzenia działalności, przedsiębiorcy, stowarzyszeniu, czy komukolwiek innemu, konieczne jest przetwarzanie danych osobowych. Czyli danych jakiejkolwiek osoby, którą da się zidentyfikować bezpośrednio lub pośrednio, pod warunkiem, że osoba ta żyje.

Zadania i obowiązki administratorów aplikacji chmurowych

Administrator musi prowadzić niezbędną dokumentację ochrony danych (wykazanie „rozliczalności” przetwarzania). Jej zakres jest uzależniony od skali przetwarzania, zakresu danych osobowych koniecznych do prowadzenia działalności. Administrator musi posiadać podstawy prawne do przetwarzania danych, informować osoby, których dane przetwarza o dokonywanym przetwarzaniu itd.

Zamierzając skorzystać z aplikacji chmurowych musi spełnić te same zobowiązania i dokonać takich samych czynności dokumentowania przetwarzania i ochrony danych, jak gdyby dokonywał przetwarzania sam, na swoim komputerze.

Musi dokonać wielu dodatkowych czynności związanych z tym, że dane będą przetwarzane z wykorzystaniem cudzej infrastruktury, poza obszarem jego fizycznego władania. Musi pamiętać, że zawsze odpowiada za przetwarzanie danych i za ich ochronę na każdym etapie przetwarzania. Niezależnie od tego, kto i gdzie w jego imieniu dokonuje konkretnych czynności przetwarzania.

Co ma wykonywać aplikacja chmurowa i w jaki sposób?

Na wstępie administrator musi ustalić, jakich czynności i jakich grup osób będzie dotyczyło przetwarzanie w chmurze. Czy będzie to tylko przechowywanie, czy aplikacja będzie dokonywała na danych różnego rodzaju czynności przetwarzania. Np. obsługi sklepu internetowego, wysyłania mailingów, prowadzenia księgowości itd.

Następnie, czy wykorzystywana będzie wyłącznie przestrzeń obliczeniowa w chmurze, czy będzie to gotowa aplikacja zarządzająca całym procesem dostarczana przez usługodawcę.

Czy w celu zapewnienia usługi chmurowej dostawca korzysta z podwykonawców (subprocesorów), a jeśli tak, to z jakich.

Czy dostawca usługi korzysta z podmiotów przetwarzających zlokalizowanych w państwach trzecich (czyli poza Europejskim Obszarem Gospodarczym). Lub czy posiada tam swoją infrastrukturę.

Jakie środki zapewnienia bezpieczeństwa stosuje dostawca.

Gdzie zlokalizowana jest infrastruktura dostawcy, jak jest zabezpieczona fizycznie, organizacyjnie, informatycznie, jak zabezpieczone są łącza, którymi przesyłane będą dane.

Powierzenie…,

Należy ustalić w jakim charakterze będzie występował dostawca usługi chmurowej w relacji do zamierzonego przetwarzania. Najczęściej będzie to przetwarzanie powierzonych danych, rzadziej współadministrowanie. Nie można też wykluczyć udostępnienia danych innemu administratorowi, choć wystąpi to rzadko. Ustalenie tego, jaki charakter będzie miało przetwarzanie jest kluczową czynnością. Od tego zależeć będą inne obowiązki administratora aplikacji chmurowych.

Najczęstszym przypadkiem jest występowanie dostawcy usług chmurowych jako podmiotu przetwarzającego. Dzieje się tak, gdy przechowujemy swoje pliki na dysku chmurowym, korzystamy z aplikacji pocztowej, programu do wystawiania faktur czy księgowania.

Dostawca chmury może dostarczać aplikacji, w której dokonywać będziemy przetwarzania, jak edytory tekstu, arkusze kalkulacyjne, aplikacje do obróbki zdjęć czy filmów, fakturowania, obsługi magazynu, umieszczenia firmowej strony www czy bloga itp.

Tak długo, jak wyłącznie my będziemy decydowali o treści umieszczanej w tych aplikacjach, dostawca chmury będzie podmiotem przetwarzającym (procesorem). Pod warunkiem, że dostawca chmury ograniczy się wyłącznie do dostarczenia narzędzia i zapewnienia jego właściwego działania i nie będzie dokonywał żadnych innych czynności na danych niż niezbędne do tego celu.

… współadministrowanie …

Jeśli jednak będzie współdecydował w jakimkolwiek stopniu o celu przetwarzania lub wykorzystywał przetwarzane dane do swoich celów, będzie współadministratorem danych. Czyli będzie osiągał jakąś, nawet pośrednią, korzyść z przetwarzania powierzonych danych. Np. zainstaluje narzędzia analityczne, które będzie wykorzystywał w swoim celu. Może to być zbieranie na danych, statystyk, analiz, które następnie wykorzysta w innym celu niż zapewnienie nam sprawnego działania aplikacji lub statystyk wykonywanych wyłącznie dla nas. Wtedy może być uznany za współadministratora.

Taka korzyść nie musi mieć bezpośredniego związku z charakterem powierzonego przetwarzania, np. prowadzenia sklepu internetowego. Dostawca chmury może, w zamian za bezpłatny lub ulgowy dostęp do aplikacji, zainstalować narzędzia analityczne, które wykorzysta do targetowania reklamy swojej lub dla innych klientów. Osiąga korzyść pozornie niezwiązaną z naszym przetwarzaniem, jednak jak wykazało to orzecznictwo TSUE, takie działanie może być uznane za wspólne osiąganie korzyści, choć różnego rodzaju, z tego samego przetwarzania, a więc za współadministrowanie.

Facebook, po przykrym doświadczeniu z TSUE, zmienił swoją Politykę prywatności. Obecnie w takich przypadkach jak np. użycie wtyczki „Lubię to” czy korzystanie ze statystyk strony uznaje się za współadministratora danych osobowych.

… a może udostępnienie?

W rzadszych przypadkach, gdy dodajemy dane do aplikacji chmurowych, zarządzane przez innego administratora, może wystąpić udostępnienie danych. Nie my decydujemy tu o celach i sposobach przetwarzania. Nie decydujemy również o nich wspólnie z takim administratorem, lub nasze dane nie są niezbędną częścią cyklu danego przetwarzania.

Tego rodzaju przekazywanie danych, w formie udostępnienia innemu administratorowi, występuje np. gdy wykonując obowiązek prawny przekazujemy dane do ZUS-u, Urzędu Skarbowego. Także gdy zakupujemy imienne bilety lotnicze czy kolejowe, dokonujemy przelewu bankowego lub szybkiej płatności. Nie jest to tematem tych rozważań, trzeba jednak pamiętać też o takiej formie przekazywania danych do aplikacji chmurowych i jak je właściwie klasyfikować.

Po dokładnym przeanalizowaniu projektowanego przetwarzania w chmurze, jego wszystkich uwarunkowań i określeniu charakteru, możemy określić nasze kolejne obowiązki.

Gdy powierzamy przetwarzanie danych, konieczna jest umowa

Przed powierzeniem przetwarzania, przede wszystkim sprawdzamy wiarygodność dostawcy, stosowane zabezpieczenia, procedury, dopuszczenie do przetwarzania osób przeszkolonych, upoważnionych i zobowiązanych do tajemnicy, wykorzystywanych podwykonawców. Określamy cel, zakres i sposoby przyszłego przetwarzania.

Następnie musimy uregulować w formie pisemnej lub elektronicznej nasze stosunki z procesorem, zawierając umowę powierzenia przetwarzania. To bezwzględny wymóg, który musi być wypełniony przed przekazaniem danych do przetwarzania. Bez tego zarówno my jak i procesor narażamy się na odpowiedzialność za naruszenie przepisów RODO, kary od organu nadzorczego i roszczenia odszkodowawcze od podmiotów danych.

Umowa powierzenia musi opisywać nałożone na strony, zwłaszcza na procesora, obowiązki dotyczące wsparcia administratora w realizacji jego obowiązków zgodnie z wymogami art. 28 RODO i przewidywać zastosowanie odpowiednich środków kontroli i wyegzekwowania zobowiązań. Warto zadbać, aby umowa ta odnosiła się do konkretnych realiów powierzonego przetwarzania i je możliwie precyzyjnie regulowała, a nie tylko była przepisaniem zapisów z RODO.

Jak Dawid z Goliatem

Często dostawcą chmury jest potentat rynkowy, a administratorem danych mała firma. Pole do negocjacji jest w wielu przypadkach znikome lub żadne. Można zaakceptować warunki lub zrezygnować. Jednak także w takim przypadku, to administrator będzie odpowiadał za potencjalne wpadki przy zawarciu umowy lub przetwarzaniu.
W jego interesie jest więc dokładne zapoznanie się z regulaminem usługi, polityką prywatności, zawartymi tam zobowiązaniami i gwarancjami wypełnienia obowiązków procesora wobec administratora. Potrzebne będą listy podwykonawców, miejsc przetwarzania i stosowanych zabezpieczeń, zapewnienie współpracy przy realizacji praw podmiotów danych i wypełnieniu obowiązków wobec organu nadzorczego, przetwarzania w państwach trzecich itd.
Jeśli wymagania RODO są spełnione oraz możliwe jest podpisanie umowy regulującej powierzenie, zawierającej wszystkie wymagane elementy, można ją podpisać lub przystąpić do umowy i rozpocząć przetwarzanie w takiej chmurze.

Ale jeśli z analizy dokumentów wynika, że nie będziemy w stanie wyegzekwować swoich praw jako administrator, z usługodawcą nie da się skontaktować lub z odpowiedzi wynika, że nas lekceważy, zwłaszcza gdy jest to firma spoza EOG, to jedynym rozsądnym rozwiązaniem będzie poszukanie innego dostawcy podobnej usługi, który zagwarantuje ochronę praw podmiotów danych, bezpieczeństwo przetwarzania, a w konsekwencji również nasze.

Co, gdy wystąpi współadministrowanie aplikacji chmurowych?

Co gdy z analizy planowanego przetwarzania w chmurze wynika, że będzie zachodziło współadministrowanie? Musimy dokonać wstępnej weryfikacji dostawcy pod względem wiarygodności, zapewnienia bezpieczeństwa i prawidłowego wywiązania się ze zobowiązań.
Konieczne jest dokonanie uzgodnień co do celu, charakteru i zakresu przetwarzania, podziału obowiązków w ramach przetwarzania danych. Ustalenie, kto będzie wypełniał obowiązki wobec podmiotów danych oraz regulatora. Wyznaczenie punktów kontaktowych, informowanie, przyjmowanie i rozpatrywanie żądań itp..

Pamiętajmy jednak, że pomimo ustaleń i opublikowanych informacji, osoba, której dane są przetwarzane ma swobodę wyboru administratora. To ona decyduje, do którego z nich zwróci się w celu realizacji swoich praw.

Konieczne jest dokumentowanie ustaleń

Ustalenia te w celu zapewnienia rozliczalności powinny być dokonane w formie pozwalającej na późniejszą weryfikację i dochodzenie wzajemnych roszczeń. W przeciwieństwie do umowy regulującej powierzenia przetwarzania, RODO w przypadku współadministrowania nie precyzuje formy zawarcia takich ustaleń.

Zdrowy rozsądek nakazuje jednak, aby była to formalna umowa lub porozumienie. Pozwalają one wykazać, kto się pod nim podpisał lub je akceptował, jeśli miało ono np. formę dokumentową.

Informowanie osób, których dane przetwarzamy

Zarówno w przypadku powierzenia przetwarzania jak i współadministrowania, mamy obowiązek przekazania osobom, których dane przetwarzamy informacji o tożsamości administratorów, celu, zakresie i podstawie prawnej przetwarzania, procesorach, współadministratorach i głównych ustaleniach zasad współadministrowania dotyczących tych osób, oraz wszystkich innych informacji wymaganych przez RODO.

Jak zawsze musimy stosować się do jednej z głównych zasad ochrony danych, spajającej pozostałe zasady i obowiązki wynikające z RODO – rozliczalności. Musimy być w stanie wykazać, że dokonujemy przetwarzania prawidłowo i zgodnie z prawem, realizujemy obowiązki wobec podmiotów danych, stosujemy odpowiednie środki zabezpieczające i wymagamy tego od naszych procesorów i współadministratorów itd. Musimy więc, chcemy, czy nie chcemy, stosować odpowiednią „papierologię” (choć możemy oczywiście stosować formę elektroniczną dokumentacji).

Jak widać obowiązków jest całkiem sporo, jak na proste z pozoru skorzystanie z aplikacji w chmurze. Trzeba jednak kolejny raz przypomnieć, że za swoje procesy przetwarzania odpowiadamy zawsze, także gdy za nas dokonują tego inni. Jeśli zawiedzie procesor, odpowiadamy my, dopiero później możemy wystąpić do niego z regresem. Jeśli zawiedzie współadministrator, jest trochę lepiej, bo przynajmniej UODO ukarze przede wszystkim sprawcę naruszenia. Pamiętajmy, że współadministratorzy odpowiadają solidarnie, więc można najpierw za kogoś zapłacić, a potem dopiero próbować odzyskać należność od winnego. Nie zawsze jest to jednak łatwe.

Czy zatem należy bać się przetwarzania w aplikacjach chmurowych?

Zdecydowanie nie. To cenne narzędzia, ułatwiające pracę, które by były często dla nas niedostępne, gdyby nie było możliwości przetwarzania w usługach chmurowych.

Jeśli tylko do ich wykorzystania odpowiednio się przygotujemy, zadbamy o bezpieczeństwo i sprawy formalne, będziemy mogli się cieszyć z efektów nowych, pomocnych i niedrogich rozwiązań wspomagających nasz biznes.